La modifica ai delitti di danneggiamento di dati e sistemi informatici, una difficile

Il legislatore italiano ha avuto particolarmente “a cuore” la tutela dell’integrità sia di dati che dei sistemi informatici, tant’è che la maggior parte delle disposizioni contenute nella legge 48/2008 riguardano l’introduzione delle nuove fattispecie di danneggiamento e di ulteriori modifiche alle disposizioni esistenti.

La prima disposizione che ha subito un’importante modifica risulta essere l’art. 635-bis, introdotto dalla legge 547/1993, in cui si prevede la fattispecie di danneggiamento di dati informatici.

Infatti, fra le principali novità introdotte con la legge di recepimento risulta la previsione della procedibilità a querela di parte, abrogando quindi la procedibilità d’ufficio presente invece nella formulazione previgente, avvicinando ancor di più tale particolare fattispecie di danneggiamento al danneggiamento di cose materiali.

Tale elemento risulta interessante, in quanto i motivi che hanno spinto per la procedibilità d’ufficio vengono ritenuti non più sussistenti, nonostante rimanga ancora latente la percezione di maggior gravità del fatto penalmente perseguibile ai danni di dati o sistemi informatici, in quanto è ben possibile la presenza di dati di grande valore in essi.

Per quanto riguarda la pena, essa è identica a quella prevista per le ipotesi aggravate di danneggiamento di cose comuni; infatti per quanto riguarda quest’ultima ipotesi di danneggiamento la pena è la reclusione da sei mesi a tre anni, avendo però come unica differenza la procedibilità d’ufficio.

La modifica introdotta con la legge 48/2008, riguardante l’introduzione della procedibilità a querela della persona offesa, comporta importanti benefici, in quanto diventa possibile per l’autorità competente anteporre i fatti ritenuti meritevoli di persecuzione penali, utilizzando la volontà punitiva della persona offesa, reale titolare dell’interesse protetto dalla normativa penale.

Tuttavia, una volta stabilite le nuove condizioni di procedibilità, occorre una precisa individuazione della persona offesa e ciò risulta un problema di non poco conto; infatti, nel delitto di danneggiamento ciò viene stabilito dal riferimento “all’altruità” dei dati, tuttavia tale elemento non sempre risulta palese, in quanto i dati, così come le informazioni ivi

contenute, a causa della caratteristica fondamentale di immaterialità che li contraddistingue, non risultano essere oggetto di possesso, almeno non nelle medesime modalità applicabili alle cose materiali.

Per questo motivo l’elemento di altruità, presente nella fattispecie di danneggiamento di cose comuni, non può essere applicato alla fattispecie di danneggiamento dei dati informatici.

Sebbene tale criterio risulti inutilizzabile per l’individuazione del soggetto passivo del reato, subentrano ulteriori elementi da riscontrarsi all’interno degli stessi interessi giuridicamente tutelati, che possono quindi far fronte all’effettiva mancanza di materialità dei dati informatici; infatti, è possibile rinvenire tal elemento prendendo proprio come riferimento la materia di protezione dei dati personali, in cui si evidenzia, attraverso una precisione assolutamente sistematica, la definizione di soggetto interessato nella persona a cui i dati si riferiscono.

Invece, nel caso in cui il danneggiamento riguardi i programmi in sé è ben possibile stabilire la persona offesa nella figura del concessionario nonché del legittimo utilizzatore, così come nell’operatore del sistema stesso, che ha subito ingenti danni economici a causa dell’azione criminale.

Tutti questi elementi di individuazione del soggetto passivo potevano essere già parte integrante della fattispecie stessa, eliminando il requisito di altruità, ritenuto inadatto per tal processo di individuazione e inserendo la medesima formula utilizzata dalla Convenzione stessa, ossia la locuzione “senza diritto”. Infatti, guardando le attuazioni della Convenzione da parte degli altri Paesi che hanno sottoscritto il trattato internazionale, possiamo notare un totale abbandono dell’elemento dell’altruità, così come avvenuto nell’ordinamento tedesco, in cui all’interno del delitto di alterazione di dati informatici si è rinunciato all’aggettivo “altrui” o “fremde”, presente invece nel danneggiamento di cose comuni, preferendogli il termine “rechtswidrig”, ossia contro diritto o antigiuridicamente.

Tale importante connotazione presenta una funzione di delimitazione al fine di una precisa distinzione fra condotte illecite e lecite, rinviando però a fonti extra-penali, anche di carattere contrattuale o consuetudinario.

Per quanto riguarda l’eventuale problema di conflitti d’applicazione fra la fattispecie di danneggiamento di dati e il danneggiamento di sistemi, nonché di dati definiti di pubblica

utilità, esso trova facile risoluzione grazie alla clausola di riserva “salvo che il fatto non costituisca più grave reato”, presente in apertura del primo comma.

Grazia a questa formulazione, tale clausola è da ritenersi applicabile in relazione ad altri delitti, come ad esempio i reati contro la privacy, nonché la falsità per soppressione.

Per quanto riguarda invece la formulazione del fatto tipico, le novità introdotte dalla Legge 48/2008 all’art. 635-bis vertono soprattutto sull’aggiunta di nuove espressioni accanto alle tradizionali ipotesi di “distruzione” e “deterioramento”; infatti, vengono riportate, all’interno della disposizione, le condotte di “cancellazione”, “alterazione” e “soppressione”, ipotesi espressamente menzionate dalla Convenzione stessa all’articolo 4. Tuttavia, permangono anche in questa sede elementi di criticità, soprattutto per quanto riguarda il mancato accostamento all’espressione “deteriora” del termine “danneggia”. Infatti, sebbene tale locuzione venga poi usata per l’articolo 635-quater, anche se non è presente l’espressione “deteriora”, l’effettiva mancanza all’interno della fattispecie di danneggiamento di dati informatici esclude automaticamente la possibilità che tali beni giuridicamente tutelati possano divenire in tutto o in parte inservibili.

Questa impostazione risulta assolutamente errata, in quanto è ben possibili che i dati, le informazioni, nonché i programmi siano suscettibili di divenire inservibili, e dunque danneggiati, mediante attività di alterazione o manipolazione che riguarda però il software, rimanendo quindi intatto l’hardware.

Questa possibilità risulta anche presente all’interno della Convenzione, sebbene non sia stata recepita dal legislatore nazionale senza alcuna ragione specifica.

Ulteriore modifica all’articolo 635 bis riguarda soprattutto la correzione dell’“errore” commesso dal legislatore del 1993, in cui si richiamavano indiscriminatamente, come circostanze aggravanti speciali, tutte le ipotesi previste all’interno dell’art. 635, oltre alla nuova e specifica circostanza del fatto commesso tramite abuso della qualità di operatore del sistema.

La legge 48/2008 ha mantenuto quest’ultima ipotesi, nonché il richiamo ad un’altra circostanza aggravante speciale presente nell’articolo 635, ossia la commissione del fatto attraverso violenze o minacce alla persona.

Le altre ipotesi, precedentemente previste, non sono state considerate degne di applicazione perché considerate datate, come ad esempio le situazioni di conflitto di lavoro, in passato ritenute degne di censura in relazione al vecchio assetto corporativo,

ormai di marginale importanza e assolutamente incompatibili con la materia di tutela dei dati informatici.

Accanto alla modifica dell’art. 635-bis, la legge 48/2008 ha novellato anche l’art. 635-

quater, dedicato al danneggiamento di sistemi informatici, per poter quindi recepire al

meglio quanto disposto in sede di Convenzione. Infatti, è stata introdotta al secondo comma una circostanza aggravante simile al quanto già previsto all’interno del secondo comma dell’art. 635-bis appena esaminato, che tuttavia differisce nell’individuazione dell’aumento di pena, che non risulta non specificato e dunque, ai sensi del principio generale contenuto nell’art. 64 c.p., pari ad un terzo.

Questa particolarità è l’ennesima prova della mancanza di sistematicità del legislatore del 2008, con la conseguenza che la fattispecie prevista all’art. 635-quater risulta essere assai diversa dal reato di danneggiamento di dati informatici, soprattutto in relazione della ben più ampia e articolate descrizione del fatto tipico.

Per quanto riguarda la descrizione dell’elemento oggettivo, il reato di danneggiamento di sistemi informatici da un lato richiama quanto già descritto all’art. 635-bis, dall’altro introduce le ulteriori condotte di “introduzione, ovvero trasmissione di dati, informazioni e programmi”.

La descrizione così compiuta si mostra strumentale alla censura delle due principali ipotesi di reato introdotte all’articolo 5 della Convenzione, ossia la trasmissione o immissioni di dati all’interno del sistema, nonché l’utilizzo di virus, introdotti in rete, per poter danneggiare a distanza un numero indefinito di sistemi informatici.

Queste tipologie di condotte tuttavia sono da considerarsi distinte normativamente dagli eventi consumativi, resi dalle locuzioni verbali “distrugge, danneggia, rende, in tutto o in parte inservibile”, utilizzate anche per la fattispecie di danneggiamento di dati informatici. L’impostazione così proposta di suddivisione fra modalità della condotta ed evento lesivo risulta però di difficile interpretazione, in quanto il secondo è da considerarsi insito nell’azione individuata.

Per questo motivo l’evento consumativo potrebbe non facilmente distinguersi dalla condotta stessa, in quanto il turbamento o l’impedimento di un sistema informatico può risultare assimilabile all’ampio concetto di violenza, presente all’interno del secondo comma dell’art. 392 c.p., in cui si afferma appunto l’esistenza di violenza anche attraverso

l’utilizzo di strumenti impeditivi del funzionamento del sistema informatico, nonché alterazione o modifica dei programmi presenti al suo interno.

Tuttavia, si registra la mancanza, all’interno della formulazione dell’elemento oggettivo, dell’espressione verbale “deteriora”, sostituito con l’espressione “danneggia”, riproponendo quindi, in chiave rovesciata, la medesima problematica presente all’interno del 635-bis, sebbene si registri la presenza di entrambe le espressioni verbali nella Convenzione.

Un ulteriore elemento di novità proposto dalla legge 48/2008, in relazione al reato di danneggiamento, riguarda invece la presenza di una nuova ipotesi di integrazione della condotta, ossia qualora si ostacoli gravemente il funzionamento del sistema.

Tale nuova ipotesi, sebbene rappresenti un contenitore piuttosto ampio e che astrattamente può contenere anche le condotte più “neutrali” di immissione e trasmissione di dati, rappresenta un importante sforzo del legislatore nazionale di ricomprendere all’interno della fattispecie anche l’ipotesi di alterazione funzionale del sistema informatico, la quale costituiva in passato un grave mancanza all’interno della fattispecie penale introdotta con la legge del 1993. Infatti, i casi di seppur temporanea interruzione o alterazione del sistema informatico, attraverso l’utilizzo di specifici mezzi informatici, risultavano essere sempre di più in aumento e soprattutto non lasciavano traccia, ovvero conseguenze irreparabili, procurando una semplice interruzione, ovvero rendendo irregolare il funzionamento stesso del sistema informatico o il servizio offerto.

Permane tuttavia un importante elemento critico riguardante soprattutto questa nuova ipotesi di reato. Infatti, risulta, a detta di gran parte della dottrina, non solo non sufficientemente precisa l’individuazione di queste particolari ipotesi di danneggiamento di sistemi informatici mediante la presenza di eventi consumativi, ma si evidenzia anche una scarsa utilità pratica, soprattutto in relazione alla configurazione di tale fattispecie come reato di evento.

Seppure in mancanza di una precisa definizione delle condotte all’interno dei reati informatici finora trattati, si può comunque procedere affermare che anche la fattispecie di danneggiamento di dati informatici possa essere comunque ritenuta, alla stregua del danneggiamento di sistemi informatici, reato di evento, in quanto, anche se possono essere realizzati attraverso le più disparate tipologie di strumenti, trovano il proprio momento consumativo nella realizzazione di una modificazione della realtà esterna, non solo di tipo

informatico, ma anche sociale ed economico. Questa modificazione è resa possibile grazie all’utilizzo delle espressioni verbali "distruggere", "deteriorare" e/o "danneggiare", "cancellare", "alterare" e "sopprimere”, riferibili solamente ai dati informatici.

Per questo motivo è ben possibile prefigurare entrambe le fattispecie di danneggiamento come reati d’evento, in relazione soprattutto alla formulazione stessa della disposizione.

2.7. L’abrogazione dell’attentato informatico e i danneggiamenti di dati e sistemi di